Как тестировать command injection?

Command injection — выполняем системные команды через уязвимость. Пример: поле принимает имя файла, которое передаётся в shell: filename=test.jpg; ls -la. Признаки уязвимости: поле передаётся в exec(), system(), shell command. Тестируем: добавляем разделители команд: ;, |, &&, ||, ` `. Пробуем: ; sleep 5 (time-based detection), | whoami, && ls`. Защита: не использовать shell execution, использовать parameterized API для системных вызовов, whitelist разрешённых значений.